HiJackThis - Analisi Log - leggere Regole di Sezione

[azzzardo]

Niente da fare.....

in pratica si ripristina sempre la chiave
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/

[wgator]

Quote:

Originariamente inviato da azzzardo

Niente da fare.....

in pratica si ripristina sempre la chiave
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/

Ciao,

io proverei a procedere, nell'ordine, così:

attiva la visualizzazione di file e cartelle nascoste e clicca su "cerca". Inserisci come termine "temp" e localizza tutte le 20 o 30 cartelle temporanee di winsozz, compresa la temp di internet e la cache Java. Aprile ad una ad una e cancella senza pietà tutto cio che contengono.

Se non risolvi:

- Mi sembra di ricordare che hai AD-aware come antispyware... Prova Ewido free, secondo me è migliore.

- Stessa cosa per AVG... Io lo sostituirei con AVS: http://www.activevirusshield.com/ant...eeav/index.adp

Dal log di HJT non si riesce a vedere quale schifezza hai beccato Secondo me, hai una dll in system32 che si attiva in maniera random ogni tanto

[juninho85]

Quote:

Originariamente inviato da plata

.

prova ad eseguire un antispyware per verificare se sei infetto,altrimenti prova a ripristinare IE

[TexTornado]

Quote:

Originariamente inviato da FOXYLADY

Per lo 020 prova a fare così, in modalità provvisoria apri il registro di sistema Start>regedit, aiutandoti con i simboli + portati a questa voce
HKLM\ SOFTWARE\ Microsoft\ Windows NT \CurrentVersion \Windows \AppInit_DLLs
ed elimina manualmente la voce incriminata, cioè dxclib303562752.dll

Per la cartella deluxe communication prova ad usare killbox
http://www.killbox.net/downloads/KillBox.exe
per eliminarla,
in particolare va eliminata la voce
C:\Programmi\DeluxeCommunications\DxcBho.dll

Allora:
trovata la chiave il mio amico ha detto che si rigenera subito. gli ho detto di cambiargli i dati binari, o rinominarla, ma la rigenera.

Killbox poi, risulta assolutamente inefficace, anche con riavvio...

COME FARE???

[schumy2006]

Ciao a tutti !
Ho avuto 2 schermate blu senza installare nulla di nuovo...

La prima indicava:
*** STOP: 0x0000007E (0xc0000005,0xF879D796,0xF8D38cB0,0xF8D389AC)
pxfsf.sys - Address F879D796 base at F877D000, datestamp 4501278f

Al riavvio ho cercato on-line info su pxfsf.sys e' in un sito veniva classificato da gmer come rootkit... Ho allora eseguito sophos anti-rootkit e nel bel mezzo della scansione in cui mi stava trovando diverse voci di registro nascoste relativa a Real Player, ecco una nuova schermata blu, che diceva:

BUGCODE_USB_DRIVER
***STOP: 0x000000FE (0x00000005,0x826010E0,0x10B95237,0x81EE7D68)

Al riavvio ho eseguito AVG anti-rootkit e mi dava questo risultato:
C:\WINDOWS\system32\drivers\hexmagic.SYS Hidden driver file
C:\WINDOWS\system32\SophosMEMSWEEP.SYS Hidden driver file
(non so se c'entra, ma un file dal nome simile, cioe' memsweep.sys e' presente nella cartella d'installazione di sophos anti-rootkit)...

hexmagic.sys dovrebbe essere il driver di mobmeter.exe, l'applicazione x notebook che rileva frquenza processore, temperatura ecc...

Chiedo gentilmente a chi e' + esperto di me di dare possibilmente un'occhiata ai 2 log Hijackthis (il primo fatto da accont limitato ed il secondo da account administrator):

1)**********Hijackthis (lanciato da account limitato "users"):**********
Logfile of HijackThis v1.99.1
Scan saved at 19.17.53, on 04/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\aaksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programmi\Prevx1\PXAgent.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Prevx1\PXConsole.exe
C:\Downloads\test23.exe (EDIT: si tratta di Hijackthis che ho rinominato prima dello scan...)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AdslTaskBar] "rundll32.exe" stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [AAK] C:\Programmi\Advanced Anti Keylogger\aak.exe /silent
O4 - Startup: Collegamento a mobmeter.lnk = C:\Downloads\mobmeter.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1161443677296
O20 - AppInit_DLLs: system32\aakah.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: aaksrv - Spydex, Inc. - C:\WINDOWS\system32\aaksrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

**************************F I N E ** L O G *****************

2)*********Hijackthis log (lanciato da acc. ADMINISTRATOR):********
Logfile of HijackThis v1.99.1
Scan saved at 19.28.11, on 04/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\aaksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\HDDSvc.exe
C:\Programmi\Prevx1\PXAgent.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Prevx1\PXConsole.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Advanced Anti Keylogger\aak.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\GetRight\getright.exe
C:\Downloads\mobmeter.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Documents and Settings\User2\Desktop\test23.exe (EDIT: si tratta di Hijackthis che ho rinominato prima dello scan...)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AdslTaskBar] "rundll32.exe" stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [AAK] C:\Programmi\Advanced Anti Keylogger\aak.exe /silent
O4 - Startup: Collegamento a mobmeter.lnk = C:\Downloads\mobmeter.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1161443677296
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2788B5E-AE41-4A7B-B245-06BF816EE888}: NameServer = 213.205.36.70 213.205.32.70
O20 - AppInit_DLLs: system32\aakah.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: aaksrv - Spydex, Inc. - C:\WINDOWS\system32\aaksrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: HDD Information Service (HDDSvc) - AltrixSoft (http://www.altrixsoft.com/) - C:\WINDOWS\system32\HDDSvc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
***********************F I N E ** L O G ********************

Che ne pensate ?
Ps. non so se e' uguale avviare Hijackthis da account con diversi privilegi, percio' ho postato entrambi i log...

Ciao e GRAZIE x l'aiuto !!

[juninho85]

Quote:

Originariamente inviato da schumy2006

Scusate l'assoluta incompetenza...
Ma HiJackThis funziona x scovare solo spyware ? O va bene anche x i virus veri e propri o altri tipi di malware ?

se le modifiche che il malware apporta al sistema sono visibili nel log si

Quote:

Originariamente inviato da schumy2006

Un'altra domanda, il nome HiJackThis mi fa pensare solo alla rilevazione di HiJackers... Perche' non hanno dato un nome piu' attinente alle sue caratteristiche ?

[TexTornado]

Quote:

Originariamente inviato da TexTornado

Allora:
trovata la chiave il mio amico ha detto che si rigenera subito. gli ho detto di cambiargli i dati binari, o rinominarla, ma la rigenera.

Killbox poi, risulta assolutamente inefficace, anche con riavvio...

COME FARE???

mi avete saltato...

[decoccio]

x chi ne sà + di me....vi sarei grata se mi date una contollata al log.ho notato quegli strani indirizzi ip .... potete darmi un vostro parere???
non sono molto esperta e nn vorrei fare casotti,cancellando ciò che nn dovrei.
grazie 1000 a tutti!


Logfile of HijackThis v1.99.1
Scan saved at 13.31.47, on 05/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCSVR.EXE
C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\eMule\eMule.exe
C:\Documents and Settings\Home\Desktop\antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKCU\..\Run: [E06IXLRD_18733171] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [E06IXLRD_9122828] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83C975F8-3675-44D1-A9EA-DA1A30F3A54E}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WinKpq - Unknown owner - C:\Programmi\File comuni\System\DVf.exe (file missing)

[lightsaber]

ok, ogni 70 min vengo scan-nato da un maledetto IP...ecco il mio log, potete dirmi qualcosa in merito? (a me pare a posto a parte due voci che però hanno ip di telecom e di un backbone interbusiness..)

Logfile of HijackThis v1.99.1
Scan saved at 15.03.32, on 05/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
F:\Widows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
F:\Sygate Firewall\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Kaspersky Security Suite\avp.exe
F:\Diskeeper\DkService.exe
F:\Winpower\Winpower.exe
C:\WINDOWS\Explorer.EXE
F:\Winpower\jre\bin\javaw.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Widows Defender\MSASCui.exe
F:\Acrobat\Distillr\Acrotray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\rundll32.exe
F:\Kaspersky Security Suite\avp.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
C:\Drivers\Omega\ATI Tray Tools\atitray.exe
F:\PeerGuardian2\pg2.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
F:\Winpower\monitor.exe
F:\Winpower\jre\bin\javaw.exe
F:\Winpower\wpRMI.exe
F:\Winpower\jre\bin\javaw.exe
F:\emule\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
F:\IZArc\IZArc.exe
C:\DOCUME~1\Andrea\IMPOST~1\Temp\ARC4C\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] F:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Windows Defender] "F:\Widows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "F:\Acrobat\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "F:\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [kis] "F:\Kaspersky Security Suite\avp.exe"
O4 - HKLM\..\Run: [AWMON] "F:\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\RunServices: [Winpower] F:\Winpower\Winpower.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Drivers\Omega\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [PeerGuardian] F:\PeerGuardian2\pg2.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - F:\Kaspersky Security Suite\\ie_banner_deny.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://F:\Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\OFFICE~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Kaspersky Security Suite\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\OFFICE~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1157268430093
O17 - HKLM\System\CCS\Services\Tcpip\..\{20558786-7C88-4642-9190-5AAC0D6813C9}: NameServer = 85.37.17.52 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{20558786-7C88-4642-9190-5AAC0D6813C9}: NameServer = 85.37.17.52 151.99.125.1
O20 - AppInit_DLLs: F:\KASPER~1\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - F:\Kaspersky Security Suite\avp.exe" -r (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - F:\Diskeeper\DkService.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - F:\Sygate Firewall\smc.exe
O23 - Service: Winpower - ZeroG Software - F:\Winpower\Winpower.exe
O23 - Service: Winpowermanager - ZeroG Software - F:\Winpower\manager.exe
O23 - Service: Winpowermonitor - ZeroG Software - F:\Winpower\monitor.exe
O23 - Service: WinpowerRMI - ZeroG Software - F:\Winpower\wpRMI.exe

[bReAkDoWn]

Quote:

Originariamente inviato da decoccio

x chi ne sà + di me....vi sarei grata se mi date una contollata al log.ho notato quegli strani indirizzi ip .... potete darmi un vostro parere???
non sono molto esperta e nn vorrei fare casotti,cancellando ciò che nn dovrei.
grazie 1000 a tutti!


Logfile of HijackThis v1.99.1
Scan saved at 13.31.47, on 05/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O23 - Service: WinKpq - Unknown owner - C:\Programmi\File comuni\System\DVf.exe (file missing)

Questo è sospetto. Prova a fare una scansione con questo tool: http://www.prevx.com/gromozon.asp
Se non partisse prova a rinominare il file prima di eseguirlo di nuovo.
Facci sapere i risultati, ciao!

[decoccio]

Quote:

Originariamente inviato da bReAkDoWn

Questo è sospetto. Prova a fare una scansione con questo tool: http://www.prevx.com/gromozon.asp
Se non partisse prova a rinominare il file prima di eseguirlo di nuovo.
Facci sapere i risultati, ciao!

grazie per aver risposto!
ho seguito il tuo cosiglio e questo è il risultato della scansione:

Launching Scan
Removing rootkit file...
Gromozon rootkit component not detected - searching for other components
Scanning: C:\Programmi\File comuni
Scanning Windows Directory...
Scanning Temporary files...
Trojan.Gromozon does not exist on the system.

Scan finished normally
For a detailed log, please refer to \gromozon_removal.log

ps:il file che mi hai indicato può essere pericoloso?ho provato a far una ricerca ,ma ancora nulla di fatto.

[bReAkDoWn]

Quote:

Originariamente inviato da decoccio

grazie per aver risposto!
ho seguito il tuo cosiglio e questo è il risultato della scansione:

Launching Scan
Removing rootkit file...
Gromozon rootkit component not detected - searching for other components
Scanning: C:\Programmi\File comuni
Scanning Windows Directory...
Scanning Temporary files...
Trojan.Gromozon does not exist on the system.

Scan finished normally
For a detailed log, please refer to \gromozon_removal.log

ps:il file che mi hai indicato può essere pericoloso?ho provato a far una ricerca ,ma ancora nulla di fatto.

Il file attualmente non esiste più, però è rimasto diciamo, il segno. Vediamo se ci sono altri elementi. Guarda se dentro c:\programmi\file comuni Microsoft Shared, System e Services ci sono degli eseguibili con nomi casuali tipo quello. Controlla inoltre se dentro c:\documents and settings ci sono delle cartelle con nomi casuali. Attiva comunque la visualizzazione dei file nascosti e di sistema per essere sicura di vedere tutto. Se hai qualche dubbio chiedi pure.

[juninho85]

Quote:

Originariamente inviato da bReAkDoWn

Questo è sospetto. Prova a fare una scansione con questo tool: http://www.prevx.com/gromozon.asp
Se non partisse prova a rinominare il file prima di eseguirlo di nuovo.
Facci sapere i risultati, ciao!

dovrebbe appartenere a document view framework

[decoccio]

Quote:

Originariamente inviato da bReAkDoWn

Il file attualmente non esiste più, però è rimasto diciamo, il segno. Vediamo se ci sono altri elementi. Guarda se dentro c:\programmi\file comuni Microsoft Shared, System e Services ci sono degli eseguibili con nomi casuali tipo quello. Controlla inoltre se dentro c:\documents and settings ci sono delle cartelle con nomi casuali. Attiva comunque la visualizzazione dei file nascosti e di sistema per essere sicura di vedere tutto. Se hai qualche dubbio chiedi pure.

ancora grazie.
ho controllato e in c:\programmi\file comuni Microsoft Shared, System e Services ,mi è sembrato nn ci fosse nulla di casuale(nn mi pare almeno),sono quasi tutte dll ,spesso microsoft.In c:\documents and settings ,da qualche giorno appare in Home il file ntuser.dat(ma nn sò se perchè nell'update microsoft,si è installato un tool genuine validation,mi pare sia da allora che è apparso,ma nn sono sicura)comunque se tento di aprirlo mi dice "impossibile ,il file è utilizzato da un altro processo"
nn sò!

[juninho85]

Quote:

Originariamente inviato da lightsaber

.

pulito

[bReAkDoWn]

Quote:

Originariamente inviato da decoccio

ancora grazie.
ho controllato e in c:\programmi\file comuni Microsoft Shared, System e Services ,mi è sembrato nn ci fosse nulla di casuale(nn mi pare almeno),sono quasi tutte dll ,spesso microsoft.In c:\documents and settings ,da qualche giorno appare in Home il file ntuser.dat(ma nn sò se perchè nell'update microsoft,si è installato un tool genuine validation,mi pare sia da allora che è apparso,ma nn sono sicura)comunque se tento di aprirlo mi dice "impossibile ,il file è utilizzato da un altro processo"
nn sò!

Fai l'ultima cosa allora, tanto per curiosità. Esegui services.msc e guarda se trovi il riferimento a quel servizio elencato da hijackthis. Guarda cosa dicono i campi connessione e descrizione. Comunque sembrerebbe tutto a posto. Da cosa ti è venuta l'idea di far controllare il log? Qualche sintomo in particolare?

[bReAkDoWn]

Quote:

Originariamente inviato da juninho85

dovrebbe appartenere a document view framework

Non conosco.. E visto il posto e il nome del file, le stavo facendo fare i controlli di routine per Agent. Cmq sembra tutto pulito.

[decoccio]

Quote:

Originariamente inviato da bReAkDoWn

Fai l'ultima cosa allora, tanto per curiosità. Esegui services.msc e guarda se trovi il riferimento a quel servizio elencato da hijackthis. Guarda cosa dicono i campi connessione e descrizione. Comunque sembrerebbe tutto a posto. Da cosa ti è venuta l'idea di far controllare il log? Qualche sintomo in particolare?

nn ci avevo pensato!
mi era venuta l'idea perchè con una scansione virit avevo notato in doc & setting una cartella con questa dicitura:qeFBogJeVarZakSXY,ma ke nn c'è visualizzata(neppure fra i nascosti).ma la cosidera pulita!
bene finalmente l'ho trovato il riferimento, grazie.è proprio in services.
Fra i servizi c'è questo WinKpq(descrizione:Abilita l'utente a configurare e pianificare operazioni automatizzate sul computer in uso. Se il servizio è stato arrestato, le operazioni non verranno eseguite secondo gli orari pianificati. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
avvio:manuale ;connessione-account:.\qeFBogJeVarZakSXY;stato :arrestato..)
Domanda:sarà normale????il nome è tanto strano

[bReAkDoWn]

Quote:

Originariamente inviato da decoccio

nn ci avevo pensato!
mi era venuta l'idea perchè con una scansione virit avevo notato in doc & setting una cartella con questa dicitura:qeFBogJeVarZakSXY,ma ke nn c'è visualizzata(neppure fra i nascosti).ma la cosidera pulita!
bene finalmente l'ho trovato il riferimento, grazie.è proprio in services.
Fra i servizi c'è questo WinKpq(descrizione:Abilita l'utente a configurare e pianificare operazioni automatizzate sul computer in uso. Se il servizio è stato arrestato, le operazioni non verranno eseguite secondo gli orari pianificati. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
avvio:manuale ;connessione-account:.\qeFBogJeVarZakSXY;stato :arrestato..)
Domanda:sarà normale????il nome è tanto strano

No.. non è normale. E adesso abbiamo la conferma. Questi sono "sintomi" sicuri di agent/linkoptimizer. La cartella dentro docum&settings è proprio uno di quei nomi casuali di cui ti parlavo qualche messaggio sopra.
Adesso dovremmo soltanto accertare se il malware sia stato debellato o sia ancora attivo e nascosto..
Se hai voglia di indagare ulteriormente procurati gmer e fai due scansioni: rootkit e autostart, dopodichè incolla i risultati ottenuti qua sul forum.

La mia opinione è che il virus sia già debellato e che siano rimaste soltanto alcune tracce innocue. Però se vuoi insistere vai con gmer. A te la scelta
Ciao!

[juninho85]

Quote:

Originariamente inviato da decoccio

nn ci avevo pensato!
mi era venuta l'idea perchè con una scansione virit avevo notato in doc & setting una cartella con questa dicitura:qeFBogJeVarZakSXY,ma ke nn c'è visualizzata(neppure fra i nascosti).ma la cosidera pulita!
bene finalmente l'ho trovato il riferimento, grazie.è proprio in services.
Fra i servizi c'è questo WinKpq(descrizione:Abilita l'utente a configurare e pianificare operazioni automatizzate sul computer in uso. Se il servizio è stato arrestato, le operazioni non verranno eseguite secondo gli orari pianificati. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
avvio:manuale ;connessione-account:.\qeFBogJeVarZakSXY;stato :arrestato..)
Domanda:sarà normale????il nome è tanto strano

e allora è la traccia lasciata da linkoptimizer